PT-2021-19301 · Parallels · Parallels Desktop
Ezrak1E
·
Publicado
2021-04-21
·
Atualizado
2021-05-10
·
CVE-2021-31421
CVSS v3.1
6.0
Média
| Vetor | AV:L/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Parallels Desktop versão 16.1.1-49141
Descrição
Esta vulnerabilidade permite que invasores locais excluam arquivos arbitrários nas instalações afetadas. Para explorar essa vulnerabilidade, o invasor deve primeiro obter a capacidade de executar código com privilégios elevados no sistema convidado alvo. A falha específica existe no componente Toolgate, resultante da falta de validação adequada de um caminho fornecido pelo usuário antes de usá-lo em operações de arquivo. Um invasor pode aproveitar essa vulnerabilidade para excluir arquivos arbitrários no contexto do hipervisor.
Recomendações
Para o Parallels Desktop versão 16.1.1-49141, considere desativar o componente Toolgate até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao componente Toolgate para minimizar o risco de exclusão arbitrária de arquivos. Evite usar caminhos fornecidos pelo usuário em operações de arquivo dentro do componente Toolgate até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Parallels Desktop